Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Verbindung steht - Ping geht nicht durch

Frage Netzwerke Router & Routing

Mitglied: Whirly

Whirly (Level 1) - Jetzt verbinden

07.11.2008, aktualisiert 15.11.2008, 10373 Aufrufe, 13 Kommentare

Hallo Leute,

Ich habe da ein Problemchen wo ich mir schon ne Woche lang die Zähne ausbeisse.
Folgendes Szenario: ich möchte gerne 2 Standorte per VPN verbinden. Ich habe hierzu 2x DI-804HV VPN Router angeschafft. Beide Router habe ich laut D-Link VPN-Anleitung eingerichtet. Die Verbindung wird auch hergestellt. (IKE established)
0f755148c9da001074d1422c93038d1d-ike_established - Klicke auf das Bild, um es zu vergrößern

Leider funktioniert die VPN Verbindung nicht. Es gehen keine Daten durch. Auch kein Ping. (von beiden Richtungen probiert)

Mein Netzwerk:
a691a365e4a0f0e882f74b638d838aaf-skmbt_c45008110715470 - Klicke auf das Bild, um es zu vergrößern

VPN Einstellungen:
Kein aggressive mode
Kein xAuth
IKE Proposal: DH-Gruppe 2, 3DES, MD5, Lifetime 3600 sec
IPSec Proposal: DH-Gruppe 2, Protokoll: ESP, 3DES, MD5, Lifetime 5000 sec

Hat jemand eine Ahnung woran es liegen könnte?

Standort 1 ist in Deutschland
Standort 2 ist in Österreich
In Österreich wird die Internetverbindung durch ein PPTP aufgebaut. Kann es daran liegen dass es nicht funktioniert?

Für eure Hilfe bin ich euch sehr dankbar.

Schöne Grüße
Whirly
Mitglied: 51705
07.11.2008 um 18:47 Uhr
Hallo,

wenn ich das richtig sehe, wird DynDNS verwendet. Und wenn ich mich jetzt noch recht entsinne, ist dafür der Aggrssive Mode zwingend.

Grüße, Steffen
Bitte warten ..
Mitglied: Whirly
08.11.2008 um 06:52 Uhr
Hallo Steffen,

vielen Dank für deine Antwort. Ich werde das mal gleich ausprobieren. Aber ich komme erst am Montag dazu weil der zweite Router in Österreich steht.

Söne Grüße und noch ein schönes Wochenende wünscht
Christian
Bitte warten ..
Mitglied: Whirly
08.11.2008 um 07:30 Uhr
Hallo,

ich habe jetzt auf Aggressive mode umgestellt. (Ich bin draufgekommen dass ich die Routereinstellungen auch von hier aus machen kann.)Aber es hat leider nichts gebracht. Ich poste mal die Logs. Vielleicht kann jemand was erkennen:

Standort 1 (in Deutschland):
Samstag November 08, 2008 07:26:30 Receive IKE A1(AINIT) : [88.117.110.157]-->[91.0.81.68]
Samstag November 08, 2008 07:26:30 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Samstag November 08, 2008 07:26:30 Send IKE A2(ARESP) : [91.0.81.68]-->[88.117.110.157]
Samstag November 08, 2008 07:26:31 Receive IKE A3(AHASH) : [88.117.110.157]-->[91.0.81.68]
Samstag November 08, 2008 07:26:31 IKE Phase1 (ISAKMP SA) established : [91.0.81.68]<->[88.117.110.157]
Samstag November 08, 2008 07:26:31 Receive IKE Q1(QINIT) : [88.117.110.157]-->[91.0.81.68]
Samstag November 08, 2008 07:26:31 Requested routing is [192.168.3.0|88.117.110.157]<->[91.0.81.68|192.168.1.0]
Samstag November 08, 2008 07:26:31 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Samstag November 08, 2008 07:26:31 Send IKE Q2(QRESP) : 192.168.1.0 --> 192.168.3.0
Samstag November 08, 2008 07:26:32 Receive IKE Q3(QHASH) : [192.168.3.0|88.117.110.157]-->[91.0.81.68|192.168.1.0]
Samstag November 08, 2008 07:26:32 IKE Phase2 (IPSEC SA) established : [192.168.3.0|88.117.110.157]<->[91.0.81.68|192.168.1.0]
Samstag November 08, 2008 07:26:32 inbound SPI = 0x13000010, outbound SPI = 0x10000010


Standort 2 (in Österreich):
Dienstag Januar 01, 2008 00:09:32 Send IKE A1(AINIT) : 88.117.110.157 --> 91.0.81.68
Dienstag Januar 01, 2008 00:09:33 Receive IKE A2(ARESP) : [91.0.81.68]-->[88.117.110.157]
Dienstag Januar 01, 2008 00:09:33 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Dienstag Januar 01, 2008 00:09:33 Send IKE A3(AHASH) : [88.117.110.157]-->[91.0.81.68]
Dienstag Januar 01, 2008 00:09:33 IKE Phase1 (ISAKMP SA) established : [88.117.110.157]<->[91.0.81.68]
Dienstag Januar 01, 2008 00:09:33 Send IKE Q1(QINIT) : 192.168.3.0 --> 192.168.1.0
Dienstag Januar 01, 2008 00:09:34 Receive IKE Q2(QRESP) : [192.168.1.0|91.0.81.68]-->[88.117.110.157|192.168.3.0]
Dienstag Januar 01, 2008 00:09:34 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Dienstag Januar 01, 2008 00:09:34 Send IKE Q3(QHASH) : 192.168.3.0 --> 192.168.1.0
Dienstag Januar 01, 2008 00:09:34 IKE Phase2 (IPSEC SA) established : [192.168.1.0|91.0.81.68]<->[88.117.110.157|192.168.3.0]
Dienstag Januar 01, 2008 00:09:34 inbound SPI = 0x10000010, outbound SPI = 0x13000010

Vielen Dank für eure Hilfe

Schöne Grüße
Christian
Bitte warten ..
Mitglied: Milli2311
10.11.2008 um 09:20 Uhr
Hei,

Windows Firewall an? Die lässt, wenn sie aktiviert ist, keinen Ping zu, sofern du es nicht eingestellt hast.
Bitte warten ..
Mitglied: 51705
10.11.2008 um 09:50 Uhr
Hallo,

der Tunnel steht ja, aber es gehen keine Daten durch. Daher hätte ich noch folgende Fragen:

-> Arbeitest du bei den Peers mit 'Traffic Lists' oder 'Virtual Interfaces'?
-> Was ist in den Access Lists und Stateful Inspection konfiguriert?
-> Hast du die NAT-Einstellungen mal per SNMP Manager im 'ipNatPreset Table' geprüft (für IPSec gibt es per Default Einträge, die im Setup-Tool nicht sichtbar sind)?
-> Hast du evtl. auf einem der WAN Interfaces mehr als eine IP?
[Nachtrag]
-> Verwendest du evtl. eine Unique Source IP Adress?
[/Nachtrag]

Grüße, Steffen
Bitte warten ..
Mitglied: Whirly
10.11.2008 um 11:05 Uhr
Hallo,

vielen Dank für deinen Tip.

ich habe auch den Ping zum Netzwerkdrucker bzw. direkt zum Router gemacht. Geht auch nicht.

schöne Grüße
Christian
Bitte warten ..
Mitglied: Whirly
10.11.2008 um 11:34 Uhr
Hallo Steffen,

Erstmal zu der Frage die ich beantworten kann: Jedes Wan-Interface hat nur eine IP.

Die anderen Fragen verstehe ich leider nicht.

Zu den Einstellungen die ich an den Routern noch so gemacht habe:
Firewall: Standardeinstellungen
Filter: Standarteinstellungen
Dynamisches Routing: Deaktiviert
Lokales SNMP Aktiviert
SNMP Remote Deaktiviert
Bei dem Standort wo der Server steht (in Deutschland) habe ich DMZ aktiviert (zum Server)

Vielleicht kannst du mir die Begriffe ein bisschen erklären.

Vielen Dank im Voraus.

Schöne Grüße
Christian
Bitte warten ..
Mitglied: 51705
10.11.2008 um 14:19 Uhr
Hallo Christian,

habe mich wohl im Thread verirrt (da sind gerade einige VPN-Threads, in welchen ich aktiv bin...) und dabei das Gerät verwechselt.

Trotzdem gilt es zunächst die Firewall- und Filter-Settings zu kennen (mit Standardeinstellungen kann ich in dem Fall nichts anfangen, da ich das Gerät selbst nicht einsetze).

Eine weitere Ursache für Verbindungsprobleme mit etablierten Tunnel sind die NAT-Einstellungen. Vielleicht hast du dazu einen Screenshot.

Sorry für die vorhergehende, etwas irreführende Antwort.

Grüße, Steffen
Bitte warten ..
Mitglied: Whirly
10.11.2008 um 16:10 Uhr
Hallo Steffen,

Vielen Dank für deine Antwort.
Ich habe mal von allem Wissenswerten Screenshots gemacht:

8622c25fd5b1651e9198b111aaf98e13-dmz - Klicke auf das Bild, um es zu vergrößern
1613e980959c35d781e59a8b72e56d9b-filter - Klicke auf das Bild, um es zu vergrößern
175075a59ec2a4c4115c5d9b66457369-firewall - Klicke auf das Bild, um es zu vergrößern
4b2d67871d058258ae29a1ed475109ec-portforwarding - Klicke auf das Bild, um es zu vergrößern
16142f74d2976cb43c3b3468ca281cd4-routing - Klicke auf das Bild, um es zu vergrößern
e96661b90578893ae0a9f14dbe427ff9-snmp - Klicke auf das Bild, um es zu vergrößern

Ich hoffe du kannst ewas erkennen.

Ich kann mir zwar die NAT-Tabelle ansehen. Ich kann aber keine NAT-Einstellungen machen. Ich glaube das kann der Router nicht.

Schöne Grüße
Christian
Bitte warten ..
Mitglied: 51705
10.11.2008 um 17:20 Uhr
Hallo Christian,

kannst du hier als Protokoll 'ESP' auswählen?

4b2d67871d058258ae29a1ed475109ec-portforwarding - Klicke auf das Bild, um es zu vergrößern

(auf dieser Seite wird wohl NAT Port Forwarding konfiguriert )

Grüße, Steffen
Bitte warten ..
Mitglied: Whirly
11.11.2008 um 09:08 Uhr
Hallo Steffen,

Auf dieser Seite "Virtuelle Server" kann ich Port Forwarding konfigurieren. In dieser sichtbaren Liste sind verschiedene Sachen vorkonfiguriert. (Aber keine aktiviert) Ich kann auch neue hinzufügen. Ich muss nur Port und interne Zieladresse wissen. Aber ich weiß nicht ob uns das weiterhilft.

Andere Frage: Muss ich bei den VPN Einstellungen "IPSec NAT Traversal" aktivieren. Ich habs mit und ohne probiert. Beides funktioniert nicht.

Schöne Grüße
Christian
Bitte warten ..
Mitglied: 51705
11.11.2008 um 14:29 Uhr
Hallo Christian,

eigentlich müssen für IPSec midesten das Protokoll UDP mit Port 500 und das Protokoll ESP auf den Router selbst weitergeleitet sein (wobei weiterleiten in diesem Zusammenhang wohl falsch ist, da die Adresse nicht geändert wird).

Bei mir sieht das etwa so aus:

ProtocolSrcAdressPortExtAdressPortDesAdressPort
udpANYany0.0.0.05000.0.0.0500
espANYany0.0.0.0any0.0.0.0any

Meint in etwa, alles was UDP 500 oder ESP ist, landet auf dem Router selbst.

In deinem Fall scheint zumindest UDP Port 500 richtig gesetzt (auch wenn der Screenshot was falsches anzeigt - TCP 500), da der Verbindungsaufbau klappt. Wenn nun ESP fehlt, scheint zwar der Tunnel etabliert, aber nicht geht durch.

Hoffe es hilft.

Grüße, Steffen
Bitte warten ..
Mitglied: Whirly
15.11.2008 um 08:17 Uhr
Hallo Steffen,

vielen Dank für deine Mühe.
Auf meinem Screenshot sind nur ein paar mögliche Weiterleitungen. Aber keine davon sind aktiviert.
Ich gehe davon aus dass der Router so intelligent ist, wenn ein VPN eingerichtet ist, dass er automatisch auf den richtigen Ports "lauscht".
Aber ich habe trotzdem vieles ausprobiert. Es hat nichts geholfen.

Ich werde mir einen VPN Fachmann ins hausholen der hoffentlich den Fehler findet.

Ein schönes Wochenende und schöne Grüße
Christian
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows 10
gelöst VPN Verbindung Probleme (7)

Frage von Yeter2 zum Thema Windows 10 ...

Windows Server
gelöst Netzlaufwerke mit einer VPN Verbindung verbinden lassen (16)

Frage von M.Marz zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...